[HACK] Ataques CodeRed en la propia red del ISP

Carles Fragoso i Mariscal cfragoso at cesca.es
Sat Sep 1 15:42:37 CEST 2001


> -----Mensaje original-----
> De: hacking-admin at argo.es [mailto:hacking-admin at argo.es]En nombre de
> Javi Pardo (DAKOTA)
> Enviado el: viernes, 31 de agosto de 2001 17:47
> Para: hacking at argo.es
> Asunto: [HACK] Re: [HACK] Re: [HACK] RE: Hay que aprender cómo funciona
> el TCP/IP :-) (era Re: [HACK] Bug W2K server)
>
> por cierto estos dias con el snort (bonito programa pa linux) me he dado
> cuenta que muchisima gente aun tiene el CODERED estoy recibiendo una media
> de 100 aatques diarios en mi linux, tengo todas las IP (por lo que veo en
> mis logs el 90% son de la red de mi ISP de cable)  como puedo
> avisar a estos usuarios? las IP en MENTA son dinamicas, deberia hacer una
> recoleccion de IP y enviarselas a mi ISP (que pasara de todo...) o que me
> sugeris? es que me pone de los nervios ver tanto gusano atacandome

El Codered se esta convirtiendo realmente en un problema,
no solo por el hecho del ataque en si, sino por la cantidad
de trafico generado por estas maquinas.

Si con el IDS Snort tienes un listado de maquinas, hazlas
llegar a tu ISP (Menta), porque es el unico que puede
advertirlos. Te recomiendo que envies el log porque alli
se especifica la IP, la hora y el tipo de intento de ataque.
Aunque las IPs sean dinamicas, si sabes la IP y la hora exacta
tu ISP sabe con que abonado se corresponde.

Dependiendo del volumen de incidentes y la gravedad que tengan,
te atenderan mas o menos rapidamente. Para ellos es util saber
que usuarios de la propia red estan generando problemas porque
el gusano estara barriendo direcciones de la propia red pero
tambien de fuera y esto generara trafico no deseable que colapsan
aun mas los anchos de banda. Si tambien tienes IPs de fuera,
tambien las puedes hacer llegar para que ellos contacten con los
ISPs de esos usuarios o con el CERT. Aunque seguramente, sobretodo
en este caso del codered se esten viendo desbordados con incidentes
de este tipo y solo actuen con los problemas a nivel de la propia red
exceptuando casos concretos.

Para hacerles llegar la informacion, haz un whois en RIPE
y enviala al contacto de seguridad (si existe), al responsable
de red o bien a la direccion 'abuse' que aunque habitualmente
sea para temas de spam, algunos operadores tambien la utilizan
para temas de incidentes de seguridad.

Venga,
hasta pronto. :)

______________________________________________
         _
        / /		Centre de Supercomputació
  C E / S / C A         de Catalunya
      /_/            1 9 9 1  - 2 0 0 1
______________________________________________

      Carles Fragoso Mariscal
      Dept. Comunicacions i Operacions

     Email:   cfragoso at cesca.es
       Tlf:   +34 932056464 (ext 4446)
       Fax:   +34 932056979
______________________________________________




More information about the hacking mailing list